Trend Micro DDAN
통합 버전: 3.0
Google Security Operations에서 Trend Micro DDAN 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://IP_ADDRESS |
예 | Trend Micro DDAN 인스턴스의 API 루트입니다. |
| API 키 | 비밀번호 | 해당 사항 없음 | 예 | Trend Micro DDAN 인스턴스의 API 키입니다. |
| SSL 확인 | 체크박스 | 선택 | 아니요 | 사용 설정하면 Trend Micro DDAN 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
작업
핑
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Trend Micro DDAN에 대한 연결을 테스트합니다.
실행
이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Trend Micro DDAN 서버에 성공적으로 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 성공하지 못한 경우: 'Trend Micro DDAN 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace)" |
일반 |
파일 제출
Trend Micro DDAN에 파일을 제출합니다.
매개변수
| 파라미터 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 파일 URL | CSV | 해당 사항 없음 | 예 | 분석해야 하는 파일을 가리키는 URL의 쉼표로 구분된 목록을 지정합니다. |
| 이벤트 로그 가져오기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 이 작업이 파일과 관련된 이벤트 로그를 가져옵니다. |
| 의심스러운 객체 가져오기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 의심스러운 객체를 가져옵니다. |
| 샌드박스 스크린샷 가져오기 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 파일과 관련된 샌드박스 스크린샷을 가져오려고 시도합니다. |
| 파일 다시 제출 | 체크박스 | 선택 | 아니요 | 사용 설정된 경우 이 파일에 대한 제출이 이전에 있었는지 확인하지 않습니다. |
| 반환할 최대 이벤트 로그 수 | 정수 | 50 | 아니요 | 반환할 이벤트 로그 수를 지정합니다. 최대: 200 |
| 반환할 최대 의심스러운 객체 수 | 정수 | 50 | 아니요 | 반환할 의심스러운 객체 수를 지정합니다. 최대: 200 |
| 의심스러운 객체 가져오기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 의심스러운 객체를 가져옵니다. |
| 반환할 최대 의심스러운 객체 수 | 정수 | 50 | 아니요 | 반환할 의심스러운 객체 수를 지정합니다. 최대: 200 |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com/",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 보고서가 반환된 경우 (is_success=true): 'Trend Micro DDAN에서 다음 URL을 분석했습니다. 하나의 보고서를 반환하지 않은 경우 (is_success=true): '작업이 Trend Micro DDAN에서 다음 URL의 결과를 반환할 수 없습니다. 일부 URL에 대해 보고서를 반환하지 않은 경우 (is_success=true): '제공된 URL에 대한 결과가 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''파일 URL 제출' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace)' |
일반 |
파일 URL 제출
Trend Micro DDAN에서 URL을 사용하여 파일을 제출합니다.
매개변수
| 파라미터 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 파일 URL | CSV | 해당 사항 없음 | 예 | 분석해야 하는 파일을 가리키는 URL의 쉼표로 구분된 목록을 지정합니다. |
| 이벤트 로그 가져오기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 이 작업이 파일과 관련된 이벤트 로그를 가져옵니다. |
| 의심스러운 객체 가져오기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 의심스러운 객체를 가져옵니다. |
| 샌드박스 스크린샷 가져오기 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 파일과 관련된 샌드박스 스크린샷을 가져오려고 시도합니다. |
| 파일 다시 제출 | 체크박스 | 선택 | 아니요 | 사용 설정된 경우 이 파일에 대한 제출이 이전에 있었는지 확인하지 않습니다. |
| 반환할 최대 이벤트 로그 수 | 정수 | 50 | 아니요 | 반환할 이벤트 로그 수를 지정합니다. 최대: 200 |
| 반환할 최대 의심스러운 객체 수 | 정수 | 50 | 아니요 | 반환할 의심스러운 객체 수를 지정합니다. 최대: 200 |
| 의심스러운 객체 가져오기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 의심스러운 객체를 가져옵니다. |
| 반환할 최대 의심스러운 객체 수 | 정수 | 50 | 아니요 | 반환할 의심스러운 객체 수를 지정합니다. 최대: 200 |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"REPORTS": {
"IMAGE_TYPE": {
"TYPE": "Windows 10"
},
"OVERALL_RISK_LEVEL": -19,
"FILE_ANALYZE_REPORT": {
"FileSHA1": "2C2218022BC734EFF94290199C2CDC46E9531F9B",
"FileMD5": "6061C079AFC5B3198F2752F875513E58",
"FileSHA256": "6CE4952C2EE4D70CBC3B4276007D0815C03FA0E87E209DF7B901D143C06859AA",
"FileTLSH": "",
"FileID": "3315_0001",
"OrigFileName": "https://example.com",
"DownloadedFileName": "",
"MalwareSourceIP": "",
"MalwareSourceHost": "",
"ROZRating": -19,
"CensusPrevalence": -1,
"GRIDIsKnownGood": -1,
"AuthenticodeIsGood": 0,
"IsAllowed": 0,
"IsDenylisted": 0,
"OverallROZRating": -19,
"AnalyzeTime": "2022-11-07 15:39:24",
"VirusDetected": 0,
"EngineVersion": "",
"PatternVersion": "",
"VirusName": "",
"TrueFileType": "URL",
"FileSize": 0,
"PcapReady": 0,
"SandcastleClientVersion": "6.0.5511",
"AnalyzeStartTime": "2022-11-07 15:39:23",
"ParentChildRelationship": "",
"DuplicateSHA1": 0,
"ConnectionMode": "nat",
"ExternalServiceMode": "Global",
"DiagInfo": "",
"RedirectChain": {
"Connection": {
"ID": 1,
"URL": "https://example.com",
"WRSScore": 71,
"WRSCategoryID": 93,
"WRSCategoryName": "Newly Observed Domain",
"ThreatName": "",
"RedirectFrom": ""
}
},
"DroppedFiles": "",
"USandboxVersion": "5.8.1044"
},
"EXTRA_INFO": {
"VAAnalysisTime": 96,
"TotalProcessingTime": 97
}
},
"Screenshot": "{base64 of }",
"EventLog": [
{
"EventLog": {
"Date": "2022-11-07 15:37:49+00",
"Source": 1,
"SubmitDate": "2022-11-07 15:37:49.618895+00",
"ProtocolGroup": "",
"Protocol": "",
"VLANId": "",
"Direction": "",
"DstIP": "",
"DstIPStr": "",
"DstPort": "",
"DstMAC": "",
"SrcIP": "",
"SrcIPStr": "",
"SrcPort": "",
"SrcMAC": "",
"DomainName": "",
"HostName": "",
"DetectionName": "",
"RiskTypeGroup": "",
"RiskType": "",
"FileName": "",
"FileExt": "",
"TrueFileType": "",
"FileSize": "",
"RuleID": "",
"Description": "Dummy log content",
"ConfidenceLevel": "",
"Recipient": "",
"Sender": "",
"Subject": "",
"BOTCmd": "",
"BOTUrl": "",
"ChannelName": "",
"NickName": "",
"URL": "https://example.com",
"UserName": "",
"Authentication": "",
"UserAgent": "",
"TargetShare": "",
"DetectedBy": "",
"PotentialRisk": "",
"HasQFile": "",
"ServerName": "",
"MessageID": "",
"EngineVer": "",
"PatternNum": "",
"VirusType": "",
"EngineVirusMajorType": ""
}
}
],
"SuspiciousObjects": ""
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 보고서가 반환된 경우 (is_success=true): 'Trend Micro DDAN에서 다음 URL을 분석했습니다. 하나의 보고서를 반환하지 않은 경우 (is_success=true): '작업이 Trend Micro DDAN에서 다음 URL의 결과를 반환할 수 없습니다. 일부 URL에 대해 보고서를 반환하지 않은 경우 (is_success=true): '제공된 URL에 대한 결과가 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''파일 URL 제출' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace)' |
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.